Le Web est un espace important à protéger : une grande partie du temps que nous passons en ligne implique le partage d’informations personnelles. Nous ne pouvons pas laisser toutes ces données exister sur l’internet sans les sécuriser, au risque de les exposer à des attaques. La vie privée est l’une des choses les plus précieuses que nous possédons tous.
Sécuriser le Web pour tous : une histoire de vie privée
Il y a quatre ans, la sécurisation des connexions entre un client et un serveur était réservée à qui savait la mettre en place : il fallait générer un CSR 1) pour votre service, le soumettre à une autorité, l’installer sur votre serveur… et payer chaque année pour le renouveler (à un coût parfois élevé !). Ainsi, la sécurisation du Web n’était pas ouverte à tous.
Cette situation n’était confortable pour personne : les éditeurs de sites Web voulaient un meilleur moyen de protéger les transferts de données de leurs utilisateurs, et les utilisateurs avaient besoin d’une meilleure protection de leur vie privée.
C’est pourquoi l’Internet Security Research Group a lancé une initiative révolutionnaire : offrir des certificats émis par une autorité CERT à but non lucratif, lui permettant de délivrer ces certificats gratuitement. La sécurisation d’une majeure partie de l’internet sans surcoût devenait possible !
En tant que fournisseur PaaS / Cloud, nous avons été l’un des premiers à intégrer cette API d’enregistrements de certificats à notre plateforme, ce qui nous a permis de générer gratuitement un certificat SSL / TLS pour chacun de vos (sous-)domaines.
v2 : Quand les choses deviennent sérieuses
Un grand pouvoir implique de grandes responsabilités. Pour éviter des attaques graves et limiter le risque de devenir un SPOF 2), Let’s Encrypt a rapidement mis des limites à son API et à l’utilisation de ses certificats.
Jusqu’à la sortie de la version 2, vous deviez émettre un certificat pour chaque sous-domaine dont vous aviez explicitement besoin. Parce que nous sommes une plateforme hébergeant de nombreux sites, nous soumettons une énorme quantité de requêtes de certificats à l’API de Let’s Encrypt quotidiennement. Jusqu’ici, nous avons pu travailler avec LE et ses limites pour fournir vos certificats de façon transparente. Grâce à cette nouvelle API, nous sommes maintenant autorisés à demander également des certificats wildcard ! Cela signifie que nous pouvons désormais ne délivrer qu’un certificat pour sécuriser tous les sous-domaines d’un domaine.
Voici comment nous avons choisi de le faire fonctionner chez alwaysdata :
- Chaque fois que vous ajoutez un nouveau sous-domaine en ajoutant un site / service derrière une nouvelle URL, nous générons gratuitement un certificat LE pour ce sous-domaine,
- À partir du 20e 3) site ajouté, nous basculons automatiquement vers un certificat wildcard qui couvrira le 20e site et tous les sites suivants (les 19 premiers utilisent toujours les leurs),
- Vous pouvez émettre un certificat wildcard à tout moment, depuis votre panneau d’administration dans la section Avancé > Certificats SSL, en ajoutant un certificat SSL et en demandant un certificat wildcard LE.
Tous ces certificats (générés automatiquement ou manuellement) sont gérés par notre plateforme et renouvelés automatiquement sur l’API Let’s Encrypt, nul besoin de vous en préoccuper.
Dépasser les limites !
Malgré la magie du service Let’s Encrypt, il y a toujours des limites :
- Vous ne pouvez pas utiliser la génération wildcard de notre outil si le domaine racine ne vous appartient pas. C’est-à-dire que vous pouvez toujours générer un certificat de sous-domaine
foo.example.orgsi le propriétaire du domaineexample.orgvous a donné une délégation sur le sous-domainefoo, mais vous ne pouvez pas générer le certificat*.example.org, car vous n’êtes pas propriétaire du domaine. - Vous ne pouvez toujours pas utiliser les certificats Let’s Encrypt pour protéger des communications hautement critiques comme les transferts financiers, car ils nécessitent les certificats offrant un niveau de sécurité plus élevé.
Pour ce dernier cas d’utilisation, ou pour tout autre pour lequel vous ne voulez pas vous fier aux certificats automatisés Let’s Encrypt, vous pouvez toujours générer un CSR pour votre service et installer un CERT SSL / TLS délivré par une autre autorité de votre choix.
Participer à la sécurité globale d’Internet est notre engagement en tant que fournisseur de services Cloud. Avec cette nouvelle utilisation de l’API Let’s Encrypt, nous sommes heureux d’aider quiconque à augmenter le niveau de sécurité des services qu’il héberge sur notre plate-forme.
Oh, et saviez-vous que vous pouvez même imposer l’utilisation du SSL dès la configuration de votre site ;) ?
Oh ! En voilà une bonne nouvelle !!!
Testé avec succès sur une ferme de blog Dotclear, avec le plugin qui gère les sous-domaines, alors qu’il n’y avait pas forcément de site dans l’admin de créé (puisque géré à la volée par Dotclear).
Merci beaucoup !
En parlant d’imposer l’utilisation du ssl, ne serait-ce pas une bonne idée de cocher par défaut l’option quand on crée un site ? Y aurait-il des effets secondaires ?
Philippe Jadin : SSL est déjà activé par défaut pour tous les sites. Peut-être parlez-vous de la case à cocher « Forcer le HTTPS », qui ne fait « que » rediriger les requêtes HTTP vers HTTPS. Toutefois certains sites (mal conçus) ne fonctionnent pas correctement avec, l’activer par défaut n’est donc pas possible.